Debian Security Advisory(Debian安全报告) DSA-4414-1 libapache2-mod-auth-mellon security update

最新推荐文章于 2019-03-27 19:38:00 发布
最新推荐文章于 2019-03-27 19:38:00 发布
阅读量94 收藏
点赞数
原文链接:http://www.cnblogs.com/iAmSoScArEd/p/10595433.html
版权

Debian Security Advisory(Debian安全报告) DSA-4414-1 libapache2-mod-auth-mellon security update

Package:libapache2-mod-auth-mellon

CVE ID::CVE-2019-3877 CVE-2019-3878

Debian Bug: 925197


  在提供SAML 2.0身份验证的Apache模块auth_mellon中发现了几个问题。

cve - 2019 - 3877

  可以在注销时绕过重定向URL检查,因此该模块可以用作开放重定向工具。

cve - 2019 - 3878

  当在Apache配置中使用mod_auth_mellon作为http_proxy模块的远程代理时,可以通过发送SAML ECP头来绕过身份验证。

 

  这些问题在0.12.0-2+deb9u1版本中得到了修复。

  有关libapache2-mod-auto-mellon的详细安全情况,请参阅其安全跟踪器页面:https://securtracker.debian.org/tracker/libapache2 -mod- auto -mellon

--------------------

Debian Security Advisory DSA-4414-1 libapache2-mod-auth-mellon security update

Package        : libapache2-mod-auth-mellon
CVE ID         : CVE-2019-3877 CVE-2019-3878
Debian Bug     : 925197

Several issues have been discovered in Apache module auth_mellon, which provides SAML 2.0 authentication.

 

CVE-2019-3877
    It was possible to bypass the redirect URL checking on logout, so the module could be used as an open redirect facility.

CVE-2019-3878
    When mod_auth_mellon is used in an Apache configuration which serves as a remote proxy with the http_proxy module, it was possible to bypass authentication by sending SAML ECP headers.

 

These problems have been fixed in version 0.12.0-2+deb9u1.

For the detailed security status of libapache2-mod-auth-mellon please refer to its security tracker page at: https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon

转载于:https://www.cnblogs.com/iAmSoScArEd/p/10595433.html

weixin_34072857
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mod_auth_mellon无法收到idp传过来的Attribute的原因
barry0518的博客
12-29 90
关于SAML身份认证中如何设置mod_auth_mellon的问题
linux安全加固技术--内核安全模块LSM
热门推荐
softgmx的博客
08-31 2万+
Linux安全相关技术 SELinux AppArmor openSSL TPM SGX LSM   linux上六种常用的安全加固技术: 1 安全的编码(Secure Code),减少编写的错误。 2 应用层漏洞缓解技术(Application-level exploitation)(SSP,relro) 3 系统级漏洞缓解技术(System-level exploit mi...
mod_auth_mellon:具有简单SAML 2.0服务提供程序的Apache模块
01-30
mod_auth_mellon:具有简单SAML 2.0服务提供程序的Apache模块
Apache 的mod_auth_cas模块的介绍和使用
weixin_30267691的博客
10-17 518
apache的mod_auth_cas模块是一个集成到apache中的cas客户端,一般是配合Apache的反向代理来使用,对某个url的请求先经过apache,apache会判断是否经过cas认证,若未认证,则跳转到cas进行认证,若认证通过,则根据反向代理的规则,将请求转发到后台的应用中去处理,转发的时候一般会带上一个认证的头信息,后端的应用从Apache转发过来的头信息中获取到用户信息,让用...
httpd-saml:配置Apache httpd以验证SAML数据
05-17
阿帕奇httpd saml 使用Apache httpd和mod_auth_mellon( )处理SSL和SAML,然后将请求代理到您的应用程序服务器。 安装Apache httpd 以下内容将安装,配置为服务,然后(重新)启动该服务。 yum install httpd mod_ssl openssl chkconfig --levels 235 httpd on service httpd restart 在Red Hat,CentOS和/或Amazon Linux上安装Mod_Auth_Mellon 亚马逊Linux 在安装mod_auth_mellon之前,您必须先安装这些依赖项 wget https://github.com/innovation-gateway/httpd-saml/raw/master/amazon-linux/lasso-2.4.1-5.el7.x
debian-8.11.1-amd64-DVD-1
11-13
debian-8.11.1-amd64-DVD-1 debian-8.11.1-amd64-DVD-1 debian-8.11.1-amd64-DVD-1 debian-8.11.1-amd64-DVD-1 debian-8.11.1-amd64-DVD-1
debian-10.3.0-amd64-DVD-1
11-13
debian-10.3.0-amd64-DVD-1
debian-7.5.0-amd64-CD-1
11-13
debian-7.5.0-amd64-CD-1 debian-7.5.0-amd64-CD-1 debian-7.5.0-amd64-CD-1 debian-7.5.0-amd64-CD-1 debian-7.5.0-amd64-CD-1
debian-cis:符合PCI-DSS的Debian 910加固
02-05
标题“debian-cis:符合PCI-DSS的Debian 910加固”指出,这个项目专注于增强Debian 9(代号为 Stretch)的安全性,使其满足PCI-DSS(Payment Card Industry Data Security Standard)的要求。PCI-DSS是信用卡行业...
debian-reference.debian11.zh-cn.pdf
09-30
Debian 参考手册 中文版 debian 官网下的 大约是 debian 11
[WIP] Keystone Federation (by quqi99)
技术并艺术着
03-11 1592
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (作者:张华 发表于:2019-03-11) Keystone Federation综述 Security Assertion Markup Language (SAML) is a protocol that allows a user to use Single Sign On (SSO) with an ...
lighttpd的权限认证模块 mod_auth
horace_lee的专栏
12-16 608
互联网是不安全的。在利用互联网便利的同时,我们需要特别小心,特别是现在的搜索引擎可是会到处钻哦,要做好防止数据被盗用的准备。如果你也像我一样,想对某个域、目录或页面进行密码保护,下面就告诉你在Lighttpd下是如何进行的。一、简单模式Lighttpd使用mod_auth模块可实现对域等进行用户名、密码保护的功能。这与Apache下用.htaccess实现的保护是类似的。mod_auth的使用说明...
apache2.2下编译安装mod_auth_mysql的补丁
永不放弃的地盘
07-17 3527
<br />这两天尽为这个问题烦恼了,今天早晨起来又编译了好几遍,还是错误。<br />后来去google搜索了一下apache2.2下安装这个要不要特殊的原因,终于查到,还需要一个补丁<br />--- orig/mod_auth_mysql.c 2005-06-22 12:17:45.000000000 -0400 +++ mod_auth_mysql.c 2006-02-22 21:16:19.000000000 -0500 @@ -206,7 +206,7 @@ #define SNPR
动态光标(ANI)安全漏洞 -- 微软紧急安全公告
04-03 2793
微软3/29日发布紧急安全公告:动态光标(ANI)安全漏洞。 http://www.microsoft.com/technet/security/advisory/935423.mspx 这个安全漏洞是最为严重的安全级别。微软的安全公告指出,这个安全漏洞: 攻击者可以创建一个利用这个安全漏洞的网页。只要用户访问这个网页,就会被感染。攻击者可以发送一个恶意的HTML电子邮
CVE-2012-1823学习
公众号shadow sock7
03-27 1321
参考: https://pentesterlab.com/exercises/cve-2012-1823/courseuser@debian:~$ php-cgi -h Usage: php [-q] [-h] [-s] [-v] [-i] [-f ] php [args...] -a Run interactively -b | Bind Pa
poder Western Gulf Advisory
cmbr25764653的博客
06-07 107
El principio del fin hay que buscarlo en la llegada al Racing de Ali Syed. Cuando el empresario indio se hizo co...
fcntl函数
小虾米就是我喽
10-29 755
Advisory record locking Linux implements traditional ("process-associated") UNIX record locks, as standardized by POSIX. For a Linux-specific alternative with better semantics, s
基于注解的锁
dhka8040652的博客
01-19 152
背景 某些场景下,有可能一个方法不能被并发执行,有可能一个方法的特定参数不能被并发执行。比如不能将一个消息发送多次,创建缓存最好只创建一次等等。为了实现上面的目标我们就需要采用同步机制来完成,但同步的逻辑如何实现呢,是否会影响到原有逻辑呢? 嵌入式 这里讲的嵌入式是说获取锁以及释放锁的逻辑与业务代码耦合在一起,又分分布式与单机两种不同场景的不同实现。 单机版本 下面方法...
RT-SA-2019-005 Cisco RV320 Command Injection Retrieval
weixin_34293141的博客
03-27 157
Advisory: Cisco RV320 Command InjectionRedTeam Pentesting discovered a command injection vulnerability in theweb-based certificate generator feature of the Cisco RV320 router whichwas inadequately pat...
U-NAS 4.0 用户手册:Linux Debian 基础的存储解决方案
U-NAS 4.0是建立在Linux Debian 9系统上的,这意味着它具有稳定性和安全性。为了获得最佳的管理体验,推荐用户使用Chrome或Firefox浏览器进行操作。由于NAS是基于Linux,用户可能需要一定的Linux基础知识来更好地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值